令進行比較,若控制指令類型不一致或與指令關聯的操作數數之間的差異超過預先設定的閾值,則進行報警處理,同時把報警信息送綜合安全性質判斷模塊。
[0091]綜合安全性質判斷模塊接收層間信息校核的結果,結合安全裝置中存儲的安全規貝1J,對安全報警進行綜合處理,提示出現的入侵行為,并給威脅檢測管理人員操作建議。
[0092]綜合安全性質判斷模塊的結論包括:
[0093]對于如下的報警信息,給出程度等級為“嚴重”的操作指導建議
[0094](I)非調試模式下對控制器執行程序塊或數據塊下載操作報警信息;
[0095](2)非調試模式下刪除控制中的程序塊或數據庫的報警信息;
[0096](3)非調試模式下改變控制器的運行模式或配置的報警信息;
[0097](4)非調試狀態下改變現場總線測量儀表(如溫度檢測儀表)配置報警;
[0098](5)非調試狀態下改變現場控制儀表和執行器的配置報警;
[0099](6)對現場總線上的執行設備(如變頻器或調節閥)的非法讀寫報警;
[0100](7)關鍵工藝參數在不同控制層數據不一致報警;
[0101](8)關鍵控制指令在不同控制層數據不一致報警;
[0102](9)關鍵控制參數在不同控制層數據不一致報警;
[0103](10)控制指令性質非法報警,數值范圍或變化率超限報警;
[0104](11)控制網絡流量超閾值報警;
[0105](12)現場總線網絡流量超閾值報警;
[0106](13)無法解析的惡意報文報警。
[0107]對于如下的報警信息,給出程度等級為“中等”的操作指導建議
[0108](I)關鍵工藝參數的數值范圍或變化率超限報警;
[0109](2)指令的讀地址空間不在允許范圍報警;
[0110](3)指令類型非法報警;
[0111](4)非調試狀態下讀控制器程序報警;
[0112](5)針對主機系統的威脅報警。
[0113]對于其它的報警信息,給出程度為“低”的操作指導建議。
[0114]安全參數配置接口包括系統級威脅檢測單元配置模塊、控制網絡威脅檢測單元配置模塊和現場總線威脅檢測單元配置模塊。其完成的功能包括:
[0115](I)設置關鍵的工藝參數及其安全閾值;
[0116](I)設置控制參數及其閾值;
[0117](3)設置控制指令及與指令有關的參數;
[0118](4)設置與主機威脅檢測有關的參數;
[0119](5)設置與現場總線檢測有關的網絡參數;
[0120](6)設置與控制網絡威脅檢測有關的網絡參數;
[0121](7)設置防火墻信息融合需要的參數;
[0122](8)其他威脅檢測相關的參數。
[0123]該模塊為把本發明及安全裝置部署到不同的工業控制現場提供了定制功能。
[0124]安全檢測數據庫存儲用戶配置的與具體工藝過程和控制系統有關的信息,從防火墻信息融合單元和主機威脅檢測單元等獲得的白名單和其他安全參數,為各個威脅檢測單元服務。
[0125]本發明實施例可以部署在工業控制系統中,對工控系統中的各種威脅行為進行檢測,判斷是否存在通過管理系統入侵工控底層設備的威脅行為,是否存在針對控制主機的威脅行為,是否存在針對控制器的威脅行為以及是否存在針對控制網絡或現場總線網絡的威脅等行為,并及時提出各種等級的報警信息,從而有效實現了對現有工業控制系統及受控的物理過程的保護。本發明實施例不對現有的工控數據進行攔截等處理,不會影響現有工控系統的運行。本發明實施例具有較高的通用性,即適用于不同行業工業控制系統的威脅檢測。同時,通過安全參數配置模塊進行個性化的配置,使得本發明可以運用到不同的工業控制現場,從而滿足工業控制系統對威脅檢測的個性化需求。
【主權項】
1.一種基于關鍵參數融合校驗的威脅檢測方法,其特征在于,包括如下步驟: (1)防火墻信息融合單元把邊界防護中的日志、規則及入侵信息送入到系統級威脅檢測單元,以用于縱向信息融合與校驗; (2)主機威脅檢測單元是應用層檢測,即對工業控制系統的主機系統、OPC服務器、OPC客戶機、實時數據庫進行威脅檢測,并把檢測到的異常行為以及從數據庫中采集的工業控制系統中的關鍵參數實時數值送入到系統威脅檢測單元,以用于縱向信息融合與校驗; (3)控制網絡威脅檢測單元采集工業控制網絡報文,進行報文分析與判斷,確定工控網絡信息流是否正常;如存在異常報文,則把異常報文提取出的關鍵參數信息送入到安全系統威脅檢測單元,以用于縱向信息融合與校驗; (4)現場總線威脅檢測單元采集現場總線報文,進行報文分析與判斷,以確定現場總線網絡信息流是否正常;如存在異常報文,則把異常報文提取出的信息以及關鍵參數信息送入到系統級威脅檢測單元,以用于縱向信息融合與校驗; (5)系統級威脅檢測單元把收到的各層威脅檢測初步信息及關鍵參數進行融合,綜合分析判斷系統安全狀態,給出綜合判斷結果; (6)安全參數配置接口為主機威脅檢測、控制網絡威脅檢測和現場總線威脅檢測單元的安全相關參數進行配置; (7)安全檢測數據庫存儲用戶配置和從防火墻信息融合單元獲得的各種威脅檢測數據,為各個威脅檢測單元服務。2.根據權利要求1所述的威脅檢測方法,其特征在于,將操作指令信息融入到威脅檢測方法中,對外部威脅、工業控制系統內部操作人員的誤操作或對系統的非法入侵行為進行檢測。3.根據權利要求1所述的威脅檢測方法,其特征在于,在控制層和現場總線層對控制指令的一致性以及與指令相關的控制參數的變化率進行檢測。4.根據權利要求1所述的威脅檢測方法,其特征在于,針對具體的應用場合,通過安全參數配置接口設置與該應用場合的安全相關的參數及其閾值。5.根據權利要求1所述的威脅檢測方法,其特征在于,采用統一的安全檢測數據庫為各個威脅檢測單元服務。6.根據權利要求1至5任一所述的威脅檢測方法,其特征在于,所述縱向信息融合校驗包括如下內容: (1)按照時間戳,將來自監控層、控制層和現場總線層的關鍵工藝進行對比,若同一個參數在不同層之間的數值差異差超過指定的閾值,則發出異常的檢測信息; (2)按照時間戳,將來自監控層、控制層和現場總線層的控制參數進行對比,若同一個參數在不同層之間的數值差異差超過指定的閾值,則發出異常的檢測信息; (3)按照時間戳,對控制指令在主機、控制和現場總線檢測層的一致性進行校驗;若存在不一致,則系統發出報警。7.—種工業控制系統安全裝置,其特征在于,所述安全裝置包括進行邊界防護的防火墻信息融合單元,對控制系統主機異常行為進行檢測的主機威脅檢測單元,檢測控制網絡異常行的控制網絡威脅檢測單元,檢測當前單元中現場總線異常行為的現場總線威脅檢測單元,以及系統級威脅檢測單元;所述系統級威脅檢測單元綜合上述各層的威脅檢測信息,進行綜合判斷以判斷系統所面臨的威脅等級。8.根據權利要求7所述的安全裝置,其特征在于,所述安全裝置的安全參數配置接口為威脅檢測單元的安全相關參數進行配置,所述威脅檢測單元是指主機威脅檢測、控制網絡威脅檢測和現場總線檢測。
【專利摘要】本發明涉及了一種基于關鍵參數融合校驗的威脅檢測方法以及實現該方法的工業控制系統安全裝置。該方法針對工控系統分層結構特點,采取在縱向層間之間對關鍵參數進行融合校驗的方法。其中,威脅檢測方法首先對包括現場總線層在內的工業控制系統的各個層級開展威脅檢測,然后在分層檢測的基礎上,對關鍵工藝參數、控制參數與控制指令等工控系統關鍵參數進行縱向的融合校驗以克服分層檢測方法存在的弱點。本發明解決了現有工業控制系統縱深防御中數據融合不足而引起的安全檢測漏洞,同時滿足了工業控制系統對于威脅檢測裝置的個性化需求,實現工業控制系統安全的綜合威脅檢測,提高工業控制系統的安全性,確保受控過程安全穩定運行。
【IPC分類】G05B23/02
【公開號】CN105573291
【申請號】CN201510984622
【發明人】陳冬青, 張翀斌, 謝豐, 彭勇, 伊勝偉
【申請人】中國信息安全測評中心
【公開日】2016年5月11日
【申請日】2015年12月24日